MBAM 웹 사이트를 보호하는 방법 계획

  • 아티클

이 항목에서는 Microsoft BitLocker 관리 및 모니터링(MBAM) 2.5 관리 및 모니터링 웹 사이트 및 Self-Service 포털을 보호하기 위한 다음 방법에 대해 설명합니다.

메서드 필수 또는 선택 사항인가요?

인증서를 사용하여 MBAM 웹 사이트 보호

선택 사항이지만 매우 권장됨

애플리케이션 풀 계정에 대한 SPN(서비스 사용자 이름) 등록

필수

MBAM 배포를 보호하는 방법에 대한 자세한 내용은 MBAM 2.5 보안 고려 사항을 참조하세요.

인증서를 사용하여 MBAM 웹 사이트 보호

인증서를 사용하여 다음 간의 통신을 보호하는 것이 좋습니다.

  • MBAM 클라이언트 및 웹 서비스

  • 브라우저 및 관리 및 모니터링 웹 사이트 및 Self-Service Portal 웹 사이트

인증서를 요청하고 설치하는 방법에 대한 자세한 내용은 인터넷 서버 인증서 구성을 참조하세요.

참고
Windows PowerShell 사용하는 경우에만 다른 서버에서 웹 사이트 및 웹 서비스를 구성할 수 있습니다. MBAM 서버 구성 마법사를 사용하여 웹 사이트를 구성하는 경우 동일한 서버에서 웹 사이트 및 웹 서비스를 구성해야 합니다.

웹 서비스와 데이터베이스 간의 통신을 보호하려면 SQL Server 암호화를 강제 적용하는 것이 좋습니다. 웹 서비스와 SQL Server 간의 통신을 포함하여 SQL Server 대한 모든 연결을 보호하는 방법에 대한 자세한 내용은 MBAM 2.5 보안 고려 사항을 참조하세요.

애플리케이션 풀 계정에 대한 SPN 등록

MBAM 서버가 관리 및 모니터링 웹 사이트 및 Self-Service 포털에서 통신을 인증할 수 있도록 하려면 웹 애플리케이션 풀에 사용 중인 도메인 계정에서 호스트 이름에 대한 SPN(서비스 사용자 이름)을 등록해야 합니다.

이 항목에는 다음과 같은 유형의 호스트 이름에 대한 SPN을 등록하는 방법에 대한 지침이 포함되어 있습니다.

  • 정규화된 도메인 이름

  • NetBIOS 이름

  • 가상 이름

초기 MBAM 설치를 위한 SPN을 만들기 전에

SPN 만들기를 시작하기 전에 다음 표의 정보를 검토합니다.

작업 또는 항목 추가 정보

Active Directory Domain Services(AD DS)에서 서비스 계정을 만듭니다.

서비스 계정은 MBAM 웹 사이트에 대한 보안을 제공하기 위해 AD DS에서 만든 사용자 계정입니다. MBAM 웹 사이트는 해당 ID가 서비스 계정의 이름인 애플리케이션 풀에서 실행됩니다. 그런 다음 SPN이 애플리케이션 풀 계정에 등록됩니다.

참고

모든 웹 서버에 대해 동일한 애플리케이션 풀 계정을 사용해야 합니다.

IIS-IUSRS 그룹 계정 또는 애플리케이션 풀 계정에 필요한 권한이 부여되었는지 확인합니다.

이를 확인하려면 다음 단계를 수행합니다.

  1. 로컬 보안 정책 편집기를 열고 로컬 정책 노드를 확장합니다.

  2. 사용자 권한 할당 노드를 선택하고 인증 후 클라이언트 가장을 두 번 클릭하고 오른쪽 창에서 일괄 작업 그룹 정책 설정으로 로그온합니다.

도메인 관리 계정을 사용하여 MBAM 웹 사이트를 구성하는 경우 MBAM에서 SPN을 만듭니다.

도메인 관리 계정을 사용하여 MBAM 웹 사이트를 구성하는 경우 이 항목의 단계에 따라 사용 중인 호스트 이름 유형에 대한 SPN을 수동으로 등록합니다.

정규화된 도메인 호스트 이름을 사용하는 경우 SPN 등록

MBAM을 구성할 때 정규화된 도메인 호스트 이름을 사용하는 경우 다음 예제와 같이 SPN을 하나만 등록해야 합니다.

수행해야 할 작업 예제 및 자세한 정보

정규화된 도메인 이름에 대한 SPN을 등록합니다.

Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser

정규화된 호스트 이름은 mybitlockerrecovery.contoso.com 웹 애플리케이션 풀에 사용되는 도메인 계정은 contoso\mbamapppooluser입니다.

애플리케이션 풀 계정에 등록하는 SPN에 대해 제한된 위임을 구성합니다.

제한된 위임 구성

이 요구 사항은 MBAM 2.5에만 적용됩니다. MBAM 2.5 SP1에서는 필요하지 않습니다.

NetBIOS 호스트 이름을 사용할 때 SPN 등록

MBAM을 구성할 때 NetBIOS 호스트 이름을 사용하는 경우 다음 예제와 같이 NetBIOS 이름에 대한 SPN 하나와 정규화된 도메인 이름에 다른 SPN을 등록합니다.

수행해야 할 작업 예제 및 자세한 정보

NetBIOS 호스트 이름에 대한 SPN을 등록합니다.

Setspn -s http/nbname01 contoso\mbamapppooluser

NetBIOS 호스트 이름은 nbname01이고 웹 애플리케이션 풀에 사용되는 도메인 계정은 contoso\mbamapppooluser입니다.

정규화된 도메인 이름에 대한 SPN을 등록합니다.

Setspn –s http/nbname01.corp.contoso.com contoso\mbamapppooluser

정규화된 도메인 이름은 nbname01.contoso.com 웹 애플리케이션 풀에 사용되는 도메인 계정은 contoso\mbamapppooluser입니다.

애플리케이션 풀 계정에 등록하는 SPN에 대해 제한된 위임을 구성합니다.

제한된 위임 구성

이 요구 사항은 MBAM 2.5에만 적용됩니다. MBAM 2.5 SP1에서는 필요하지 않습니다.

가상 호스트 이름을 사용할 때 SPN 등록

정규화된 도메인 이름인 가상 호스트 이름으로 MBAM을 구성하는 경우 가상 호스트 이름에 SPN을 하나만 등록합니다. 구성하는 가상 호스트 이름이 정규화된 도메인 이름이 아닌 경우 다음 예제에 설명된 대로 정규화된 도메인 이름을 지정하는 두 번째 SPN을 만들어야 합니다.

수행해야 할 작업 예제 및 자세한 정보

이 예제와 같이 가상 호스트 이름이 정규화된 도메인 이름인 경우 SPN을 하나만 등록합니다.

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

이 예제에서 가상 호스트 이름은 mbamvirtual.contoso.com 웹 애플리케이션 풀에 사용되는 도메인 계정은 contoso\mbamapppooluser입니다.

가상 호스트 이름이 정규화된 도메인 이름이 아닌 경우 이 추가 SPN을 등록합니다.

Setspn -s http/mbamvirtual contoso\mbamapppooluser

이 예제에서 가상 호스트 이름은 mbamvirtual이고 웹 애플리케이션 풀에 사용되는 도메인 계정은 contoso\mbamapppooluser입니다.

가상 호스트 이름이 정규화된 도메인 이름이 아닌 경우 이 추가 SPN을 등록합니다.

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

이 예제에서 가상 호스트 이름은 mbamvirtual.contoso.com 웹 애플리케이션 풀에 사용되는 도메인 계정은 contoso\mbamapppooluser입니다.

DNS(도메인 이름 서버) 서버에서 사용자 지정 호스트 이름에 대한 "A 레코드"를 만들고 웹 서버 또는 부하 분산 장치를 가리킵니다.

DNS 호스트 레코드 구성의 "DNS 호스트 A 레코드 구성" 섹션을 참조하세요.

CNAMES 대신 A 레코드를 사용하는 것이 좋습니다. CNAMES를 사용하여 도메인 주소를 가리키는 경우 애플리케이션 풀 계정에서 웹 서버 이름에 대한 SPN도 등록해야 합니다.

애플리케이션 풀 계정에 등록하는 SPN에 대해 제한된 위임을 구성합니다.

제한된 위임 구성

이 요구 사항은 MBAM 2.5에만 적용됩니다. MBAM 2.5 SP1에서는 필요하지 않습니다.

이전 버전의 MBAM에서 업그레이드할 때 SPN 등록

다음을 수행하려는 경우에만 이 섹션의 단계를 완료합니다.

  • 이전 버전의 MBAM에서 업그레이드합니다.

  • 부하 분산 또는 분산된 구성으로 MBAM 2.5에서 웹 사이트를 실행하고 현재 부하가 분산되지 않은 구성에서 실행 중입니다.

애플리케이션 풀 계정이 아닌 컴퓨터 계정에 이미 SPN을 등록한 경우 MBAM은 기존 SPN을 사용하며 부하 분산 또는 분산 구성에서 웹 사이트를 구성할 수 없습니다.

수행해야 할 작업 예제 및 자세한 정보

Active Directory Domain Services(AD DS)에서 애플리케이션 풀 계정을 만듭니다.

현재 설치된 웹 사이트 및 웹 서비스를 제거합니다.

MBAM 서버 기능 또는 소프트웨어 제거

컴퓨터 계정에서 SPN을 제거합니다.

Setspn –d http/mbamwebserver mbamwebserver

Setspn –d http/mbamwebserver.contoso.com mbamwebserver

애플리케이션 풀 계정에 SPN을 등록합니다.

가상 호스트 이름을 사용할 때 SPN을 등록하는 단계를 따릅니다.

웹 애플리케이션 및 웹 서비스를 다시 구성합니다.

MBAM 2.5 웹 응용 프로그램을 구성하는 방법

구성에 사용하는 방법에 따라 다음 중 하나를 수행합니다.

메서드 세부 정보

MBAM 서버 구성 마법사

웹 서비스 애플리케이션 풀 도메인 계정 필드에 애플리케이션 풀 계정을 입력합니다 .

Enable-MbamWebApplicationWindows PowerShell cmdlet

매개 변수에 계정을 입력합니다 WebServiceApplicationPoolCredential .

중요

입력하는 호스트 이름은 SPN을 만드는 가상 호스트 이름과 같아야 합니다. 또한 웹 팜에서 호스트 이름과 애플리케이션 풀 자격 증명은 구성하는 모든 서버에서 동일해야 합니다.

MBAM이 웹 애플리케이션을 구성하는 경우 SPN을 등록하려고 하지만 MBAM을 설치하는 서버에 도메인 관리 권한이 있는 경우에만 등록할 수 있습니다. 이러한 권한이 없는 경우 구성을 완료할 수 있지만 MBAM을 구성하기 전이나 후에 SPN을 설정해야 합니다.

필수 요청 필터링 설정

애플리케이션이 예상대로 작동하려면 '목록에 없는 파일 이름 확장명 허용'이 필요합니다. 'Microsoft BitLocker 관리 및 모니터링' - 요청 필터링 ->> 기능 설정 편집으로 이동하여 찾을 수 있습니다.

MBAM 2.5용 환경 준비

MBAM 2.5 배포 필수 구성 요소

MBAM에 대한 제안이 있나요?

MBAM 문제의 경우 MBAM TechNet 포럼을 사용합니다.